Top-Themen

AppleEntwicklungHardwareInternetLinuxMicrosoftMultimediaNetzwerkeOff TopicSicherheitSonstige SystemeVirtualisierungWeiterbildungZusammenarbeit

Aktuelle Themen

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit
GELÖST

Merkwürdiger Trojaner

Frage Sicherheit Viren und Trojaner

Mitglied: 60734

60734 (Level 1)

03.03.2008, aktualisiert 05.03.2008, 7839 Aufrufe, 14 Kommentare

Hallo Leute!
Ich kenn mich mit PC's zwar einigermaßen gut aus, doch zur ZEit läuft an einem PC von einem Freund was ziemlich merkwürdiges ab.
Der hat gesagt, dass er über e-Mail von einem anderen Bekannten einen Anhang geöffnet hat.
Daraufhin hat sich der Internet-Explorer geöffnet und da stand, dass ein Fehler aufgetreten ist.
Und seitdem ist sehr viel merkwürdig.
Wenn er bei sich in den Taskmanager schaut, ist da dauernt! cmd.exe, ping.exe, ftp.exe, b2e.exe, und xcopy.exe geöffnet, obwohl er die Eingabeaufforderung gar net nutzt.
Außerdem startet sich manchmal ein Programm, wo man unten rechts ein manchmal helles V und manchmal ein eingedunkeltes V sieht.
Was kann da los sein?
Bitte um schnelle Hilfe.
Norton AntiVirus hat kein Virus gefunden.
Mitglied: Smiley
03.03.2008 um 19:00 Uhr
Hi,

boote mal mit irgendeiner Live-CD und scann damit nach Viren. Es kann ja sein das der Trojaner o.ä. das Virenprogramm überlistet/deaktiviert/für dumm verkauft, oder einfach das Norton AV (welches ja nicht grade das Beste ist) den Trojaner o.ä. nicht kennt.
(Also nimm keine evtl. vorhandene Norton-Boot-CD!)

MfG
Bitte warten ..
Mitglied: datasearch
03.03.2008 um 19:01 Uhr
lol da hat jemand gespielt.

Das "V" ist VNC, damit kann der "bekannte" den Bildschirm des betroffenem anschauen. cmd.exe wurde sicher von einem anderem Tool gestartet, das wiederum entweder einen Tunnel irgendwohin aufbaut usw usw.

Auf jeden Fall den betroffenen PC nur noch offline betreiben und genau analysieren wo was startet. Irgendwo muss dieses "script" die Programme ja eingetragen haben. Die Sicherste Methode für dich währe Neuinstallation.

Ich würde, wenn auf dem PC keine "kritischen" Daten vorhanden sind, eine Anzeige wegen Datenmanipulation und diesem tollem neuem Paragraph wegen ausspähen von Daten gegen den absender der EMail stellen und den PC als Beweismittel sichern.

Hast du zufällig diesen Anhang? ich würde mir das "ding" mal anschauen, dann kann ich mehr dazu sagen wie aufwendig es wird den zu entfernen.
Bitte warten ..
Mitglied: 60734
03.03.2008 um 19:13 Uhr
Mhh ka... Aber der hat die Mail wieder gelöscht.
Aber es ist halt schon komisch, weil manchmal wird unten rechts bei ihm halt auch angezeigt:
"Datenverlust beim schreiben ... Die Datei "\\ajshdla.no-ip.org\xy\Domi\log.txt" konnte nicht geschrieben werden.
Bitte speichern Sie die Datei woanders ab"
Bitte warten ..
Mitglied: 60734
03.03.2008 um 19:15 Uhr
ABer nochmal zu der Live-CD.
Wo kann man die her bekommen, diese Norton-CD?
Bitte warten ..
Mitglied: datasearch
03.03.2008 um 19:44 Uhr
Das schlechte an der Situation ist, das er warscheinlich windows-Bordmittel nutzt um eine FTP oder sonst eine Verbindung zu diesem DynDNS Server aufzubauen. Da das keine Viren sind, wirst du nichts finden. Leider. Dieses ajshdla.no-ip.org wurde bereits gelöscht, also gehe ich davon aus das dieser Mensch das Ziel abgeschaltet und den noip Account gelöscht hat. Vieleicht hat er ja mitbekommen was los ist.
Leider kann ich ohne weitere Informationen wie das Installiert wurde nicht genau sagen wie du das wieder bereinigen kannst.
Bitte warten ..
Mitglied: 60734
03.03.2008 um 19:54 Uhr
Nee, oder?
Aber des ist halt schon scheiße, wenn der den PC steuern kann...
Ich sag ihm, dass er das mal weiterhin beobachten soll.
Aber trotzdem thx soweit
Bitte warten ..
Mitglied: pulse
03.03.2008 um 20:36 Uhr
Ich würde noch empfehlen ein paar onlinescanner drüber zu jagen z.b. von Nod32 oder kaspersky
Und...Norton? Weg mit dieser gelben Pest und was ordentliches draufsetzen
Bitte warten ..
Mitglied: LordGurke
03.03.2008 um 21:01 Uhr
Meine Empfehlung wäre:
Festplatte ausbauen und in einem anderen Rechner scannen lassen, am Besten wirklich mit Kaspersky. In der C*mputerBild gab es mal vor einiger Zeit eine Gratis-Vollversion davon, vielleicht hast du die ja selber oder irgendwen in der Verwandtschaft, der noch eine Lizenz übrig hat (es gab immer direkt eine für 3 Arbeitsplätze).
Und wenn damit das System auch nicht sauberzukriegen ist, müssen halt die wichtigen Daten gesichert, die Festplatte komplett formatiert und Windows neu aufgesetzt werden.

Btw: Sitzt du hinter einem Router? Würde mich sehr wundern, wenn ohne irgendein Zutun einfach die zur Fernsteuerung geöffneten Ports im Router geforwardet werden.

Zu Norton stimme ich Endzeit zu:
Wer Norton hat braucht keine Viren mehr, ich habe schon viele virenbefallene Systeme gesehen und auf fast allen war die T-Offline-Version von Norton installiert. Will nichts heißen, aber....
Bitte warten ..
Mitglied: datasearch
04.03.2008 um 00:31 Uhr
@Maxi
Öhm, kleiner Denkfehler. Er hat sich das teil durch eine EMail von kumpel xy oder sonstwem eingefangen. Ich gehe davon aus das es ein Script war das vom lokalem PC aus irgend einen installer für VNC und einen Tunnel (zb. plink.exe) eingefangen und installiert hat. Virenscanner finden so etwas definitiv nicht. Die tatsache das das VNC logo in der Systray erscheint, deutet auf einen noob oder ein kiddi in dieser Szene hin der "mal schauen" wolle, was der kumpel so treibt. Die Verbindung wird also von innen nach außen aufgebaut was durch so gut wie jede Firewall geht. Das VNC Tunneling erfolgt also über einen von innen aufgebauten Tunnel ODER der PC hängt tatsächlich direkt am Netz (womit es auch erklären würde warum der Typ versucht auf seinen noip-homeserver die IP des Rechners abzulegen)

Das mit der Formatierung sehe ich auch als einzige Möglichkeit das System wieder in einen definierten Zustand zu bekommen (wenn das erforderliche Hintergrundwissen für eine Reinigung fehlt).
Bitte warten ..
Mitglied: Gagarin
04.03.2008 um 08:45 Uhr
Das mit dem kiddi kann ich nur bestaetigen, allein der Umstand das man Im Taskmanager cmd.exe, ping.exe, ftp.exe, b2e.exe, und xcopy.exe sehen kann und nicht, zb in svhost verstecket sind spricht dafuer.

Deswegen halte ich auch eine Strafanzeige fuer ueberdimensioniert.

Wichtig ist das der Rechner komplett geloescht wird und reinstalliert wird. Ausserdem sollten vorher, und zwar von einem anderen System, alle im Internet verwendeten Passwoerter geaendert werden.
Bitte warten ..
Mitglied: 60734
04.03.2008 um 18:03 Uhr
Ich habe jetzt nochmal Kaspersky Security probiert von der ComputerBild.
Aber auch kein Fund.
Das find ich jetzt total assi, dass wir den neu aufsetzen müssen.
Vielleicht weiss ja jemand anderes, wie man diesen "Trojaner" vlt. aufdecken könnte und doch löschen könnte.
Weil es befinden sich sehr viele sensible Daten auf dem PC und außerdem sehr viel lizenzierte und bezahlte Software.
Bitte warten ..
Mitglied: pulse
04.03.2008 um 19:13 Uhr
Die Lizenzen hat man doch, und dann wirds halt alles nochmal installiert
und nu?
Die Daten sichert man.
Sobald man son ding drauf hat und besonders wenn er tückisch ist,
ist eine komplette neuinstallation mit kompletter formatierung absolut empfehlenswert.
und wenn die daten wirklich sensibel sind und es sich um einen trojaner handelt...
dann wünsche ich viel spaß, falls du das system nicht neu aufsetzt^^
Bitte warten ..
Mitglied: 60734
04.03.2008 um 19:39 Uhr
Ok!
Dann werd' ich mich mal dran machen.
Vielen Dank für die vielen Posts!
Bitte warten ..
Mitglied: gnarff
05.03.2008 um 20:51 Uhr
Den Rechner vom Netz nehmen und den VNC-Client entfernen, falls die bind 2 exe Library [b2e.exe] nicht benötigt wird, ebenfalls löschen. RPCalls verbieten.

saludos
gnarff
Bitte warten ..
Neuester Wissensbeitrag
Windows 10

Powershell 5 BSOD

(4)

Tipp von agowa338 zum Thema Windows 10 ...

Ähnliche Inhalte
Viren und Trojaner
Erpressungs-Trojaner Locky markiert Geisel-Dateien mit .aesir-Endung

Link von VGem-e zum Thema Viren und Trojaner ...

Viren und Trojaner
Ransomware-Krypto Trojaner, welcher Virenscanner erkennt am besten ? (22)

Frage von hansdampf zum Thema Viren und Trojaner ...

Erkennung und -Abwehr
Erpressungs-Trojaner Cerber lernt dazu und verschlüsselt noch mehr

Link von Dani zum Thema Erkennung und -Abwehr ...

Heiß diskutierte Inhalte
LAN, WAN, Wireless
gelöst Server erkennt Client nicht wenn er ausserhalb des DHCP Pools liegt (28)

Frage von Mar-west zum Thema LAN, WAN, Wireless ...

Windows Server
Server 2008R2 startet nicht mehr (Bad Patch 0xa) (18)

Frage von Haures zum Thema Windows Server ...

Outlook & Mail
Outlook 2010 findet ost datei nicht (18)

Frage von Floh21 zum Thema Outlook & Mail ...

Netzwerkmanagement
gelöst Anregungen, kleiner Betrieb, IT-Umgebung (17)

Frage von Unwichtig zum Thema Netzwerkmanagement ...